夏杰：无声战争，Web3.0时代安全挑战与应对 | 世界区块链大会

7月25日，“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心举行。本次大会由杭州时戳信息科技有限公司（巴比特）主办。

在Web3.0与分布式存储论坛， 网安信创始人夏杰分享称，Web3.0最核心的是分布式，点对点的网络的构成。在Web3.0时有一些安全挑战，比如外部安全挑战有“假提币”、挂马攻击、热钱包攻击和女巫攻击。内部挑战比如有不安全操作，社会工程学问题和内鬼监守自盗。而链上的挑战包括API漏洞攻击和利用公链惩罚机制的攻击等。所有攻击不是一蹴而就，而是有过程的，IPFS企业针对黑客入侵最佳策略：早发现，早预警，早处理！

以下内容来自夏杰，经巴比特整理。

各位大家好，我是一个从事安全超过17年的红客，在加拿大工作期间，我是加拿大第二大安全信息提供商的安全负责人，服务过IBM、微软、加拿大政府，以及加拿大四大银行的三家。现在，我们主要是服务IPFS服务商，为他们提供安全服务。

今天我们想从三个方面分享“Web3.0时代安全挑战与应对”的最新思考。第一，什么是Web3.0？第二，Web3.0时代我们碰到怎样的安全问题？第三，我们怎样应对这些安全问题。

关于Web3.0很多人有不同的想法和概念。

Web1.0时代是我们可以从一个地方获取数据，Web2.0是我们可以分享数据，数据从可读方式变成读写方式。

Web3.0我认为最重要的一点就是基于分布式的，点对点的网络构成。在3.0时代，所有网络的构成都有一些新的应用和新的基本构成的变化，比如说服务器，我们就从传统的中心式服务变成了现在的一些分布式存储。

3.0时代我们碰到了怎样的安全挑战？我们大概会从三个方面来阐述。

首先，从外部面临的安全挑战。有“假提币”，有挂马攻击，热钱包攻击，女巫攻击。其中，女巫攻击是针对整个P2P结构的攻击模式，简单的来讲就是可以让你在分布式存储当中的节点失去所有功能，不能发挥正常作用，这样就失去了跟外部世界沟通的过程，就没法获得任何因素。

其次，从内部角度看安全挑战。比如有比较常见的不安全操作，社会工程学挑战，简单来讲就是你可以被欺骗的点击下载一个文件，下载一个图片，这个图片会发起一些你想不到的危害。监守自盗，这个我们看到就比较多了，特别是有资产的企业，往往他们存在大量资产，如果企业员工没有一个忠实的履行义务的话，很有可能把一些有价值的资产拿走。

Web3.0时代有一个特点，还有基于链上的安全挑战。我们常见的模式就是API漏洞攻击。所有链实现的时候都有一个调试接口，这个接口没有被保护起来，资产被转移，被偷盗都是非常常见的状况。利用公链的惩罚机制也是比较常见的安全挑战，比如Filecoin，180天的质押有可能会被扣罚，那就得不到实际的收益。

我和大家分享几个我们碰见的一些典型安全事件。

第一个，在Filecoin正式上线之前有一个太空竞赛，我们看到一个长期在算力排行上非常领先的企业，在进入太空竞赛后，他整整有十天时间没有产出，他们最开始判断是不是出现了DDOS攻击，在我们的协助下，我们发现它的数据量非常低，请求也都平稳，说明服务器是在非常正常的状态运行，但就是一直没有响应。

我们深入分析了他们的日志，发现他们得到了大量的请求，是之前没有看见过的节点，而这些节点发给我们数据实际上都是错误的，我怀疑是不是典型的女巫攻击。之后顺着推导就发现他们通常一个节点可以连接十五六个节点，这十五六个节点通通发给我们有害数据，也就是说他是陷入了被孤立的状况，没有任何可能和外界发生交互，从而实现他正常的功能，因为它能收到的数据都是从不可信路径来的，既然这样就要找到可信的。

但大家都清楚，太空竞赛期间唯一可信的源是在非常遥远的欧洲，连接数据是非常慢的，为了保持这一点，我们通过了几极搭桥。我们在德国、荷兰、香港以及在内陆，通过不同节点的转发，连接了一条安全线路，逐渐的我们相当于安全的节点数，让我们的服务器仅仅只是连接我们这些可信的安全节点，然后在这个以后差不多花了三天时间去重新部署，部署完成以后我们得到了我们想要的数据。二十天的太空竞赛有十三四天没法正常运行，但我们调试以后他们跑了五天，还是获得了相当不错的成绩。

第二个事件是被攻击导致私钥泄露。我们有个客户的服务器被黑了。原来是他们新上了一台管理服务器，服务器上有管理的应用程序，有钱包的数据，还有他们对外加固的一套系统，这三个系统是刚刚上的，还没来得及部署安全系统。

他说服务器反应非常慢，卡顿非常严重。他们杀掉了一个跑得非常高的进程，重启服务器后发现状态还是一样，服务器又跑慢了。

我看了以后第一判断应该是被“挂马”了，这个马（木马病毒）会定时向外部连接，然后去下一些有害的马回来。我仔细分析了这个马的状况，发现它是非常非常新的马。我去察看这个服务器，里面全是各种各样的病毒、木马。我们把它删了，谁知道有更恐怖的事情出现，其他服务器也有被感染的状况，我征求他们的意见以后，原来他们有个管理服务器，这个服务器可以管理局域网里面所有的服务器，因为这个服务器被感染，黑客针对他们这个行为脚本专门通过这个管理接口去管理其他服务器，把自己木马全部放在了局域网络。于是，我们又去查管理节点和其他的，到这里，我以为处理的差不多了，因为黑客已经从两个不同的维度进行了攻击。

后来我发现这是一个更加专业的黑客，因为我发现它还在打我们钱包节点的主意。他发起了一个提币请求，意味着只要这个钱包节点里有钱，它就有可能被提走。我当时下了一个命令，把所有服务器钱包节点停掉，通过冷钱包的方式把里面资产转走，转走以后重新换地址上钱包状态，经过一系列状态以后，我们做了一个实验，拿了少量的钱来印证我的想法，然后把服务器打开，发起一个提币请求，然后在短短两分钟之内，我们放进去大概有0.1左右的币就被顺利的提走了。

经过三个动作我发现了整个服务器算是比较干净的状态了，我想，这是我们经历的比较有意义的事情。

我们讲一下针对我们刚才说的问题，我们应该怎么应对？

所有的攻击不是一蹴而就的，是有过程、有步骤的，简单来讲就跟我们打仗一样，我们要做火力侦查、武器配备，然后做重点攻击，攻击完以后我们把缺口打开，通过这个缺口扩大我们的战火，这是一系列的步骤。基于这么个步骤，我们有很多方案可以解决。

我们现在有EDR方案（终端安全响应系统），最大的优势是这个攻击是已知的，我们可以得到很好的防护。此外，我们还有SIEM（安全时间及安全信息管理）和SOC方案（安全运营中心），主要是分析安全事件给出应对，SOC的主要差别是它不仅给出建议，而且还会做出更改。

我们现在牵扯到资产，所以绝大部分企业（IPFS企业）还是选择定制SIEM方案，我们现在的这些企业到目前为止都没有发生重大的安全事件。

这个是我们系统的基本防护逻辑，在左手边我们会收集服务器的状态，把它放到我们分析中心，实际上采用了大数据，包括我们说的学习模式，会得到的简单的结果反馈给客户，最有价值的部分是我们安全团队的部分，因为我们从IPFS成立到现在，我们有一直跟踪他们安全发展的安全专家，基于这个专家分析整个刚才说的攻击流的状况，从而把数据转给用户，用户解决实际的问题。

同时，其实我们也不仅仅只是把我们的注意力放在IPFS分布式存储这个领域，实际上像刚才很多人提到Swarm，我们也有自己的安全节点，也做了准备和研究。包括像很新的NFT、DeFi，这些都是我们做过很详细的深入分析，提供过解决方案。

我今天的分享就到这里，谢谢大家！

—-

编译者/作者：王佳健

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。